在经批准的加密设备中对账户数据进行加密,使商家几乎完全不在支付卡行业数据安全标准的范围内

点到点加密 (P2PE) 是应用程序级加密的一种特殊情况,其中在业务应用程序(在这种情况下为零售点 (POS) 终端)中选择性地应用加密。 如果正确实施点到点加密过程,账户数据在经批准的安全加密设备 (SCD)(如 POS 终端)内加密,并且在商家环境中完全不进行解密,则商家就有可能几乎完全不在支付卡行业数据安全标准的范围内。 对保护和访问解密密钥的严格控制必须到位;事实上,PCI 安全标准委员会的当前指南要求使用具有适当安全等级的硬件安全模块 (HSM) 来保护对这些密钥的访问。 收单机构和支付链中的其他参与者已经开始营销增值服务,这些服务利用 P2PE 来降低商家的合规性成本。 从支付卡行业数据安全标准的角度来看,任何有能力解密账户数据的系统都会立即进入范围,因此通过保护 HSM 中的密钥来隔离商家的能力可以为所有相关方带来显著的收益。

    挑战

    当下的挑战

    • 不保护帐户数据的组织将无法遵守支付卡行业数据安全标准的要求,从而面临罚款和对业务造成损害的风险。
    • 由于客户帐户数据可以通过许多渠道(网站、呼叫中心和服务台、电子邮件系统等)有意或无意进入,并且可以在整个组织中迅速广泛地传播,攻击者可以从典型组织内的许多地方窃取客户帐户数据,从而增加了应对措施和合规性报告的成本。
    • 加密可以降低风险,但组织必须采取措施适当管理密钥。 存在于纯粹基于软件的系统中的密钥容易受到攻击,而且往往不符合合规性义务。
    • 尽管支付卡行业数据安全标准尚未强制使用点到点加密 (P2PE),但不利用这种点到点加密方法来缩小支付卡行业数据安全标准范围的组织可能会产生不必要的合规性成本。

    解决方案

    点对点加密: Entrust nShield HSM

    Entrust nShield® HSM 不仅可以帮助您实施措施以高效实现支付卡行业数据安全标准合规性,而且还可以在点对点加密 (P2PE) 策略中发挥重要作用,从而缩小范围,降低合规性成本。 Entrust nShield HSM 通过了 P2PE 准则规定的 FIPS 140-2 3 级标准的独立认证。 Entrust nShield HSM 创建了一个值得信赖的环境,在这种环境中,可以安全地生成、存储和管理密钥材料,并且可以安全地执行解密操作。 以这种方式使用 HSM 直接类似于使用 HSM 在用户 PIN 通过支付网络时对其进行保护的方式。 在这两种情况下,HSM 都克服了纯粹基于软件的系统的固有弱点,这些系统可能会将加密密钥和进程暴露给内存扫描攻击、运行时监控或恶意特权用户。

    无论您选择使用自己内部开发的软件还是使用第三方商业应用程序对账户数据进行加密和解密,Entrust nShield HSM 都易于部署,并且可以支持格式保留加密 (FPE) 等创新技术,以最大限度地减少对现有业务流程的影响。 这些设备已经通过认证,可直接与我们的行业合作伙伴和领先 POS 制造商的产品进行集成,确保您能够快速部署并与现有系统无缝集成。

    优势

    使用 Entrust nShield HSM,您可以:

    • 部署符合支付卡行业数据安全标准的点对点加密 (P2PE),以保护帐户数据并降低合规性成本。
    • 加快实施项目;Entrust nShield HSM 已通过预审资格,可与领先加密供应商的产品进行集成。
    • 充分利用性能级别和外形规格的选择 — 准确部署并且只部署您需要的内容,并根据您的需求变化轻松进行升级。
    • 利用具有领先优势的 FPE,最大限度地减少对现在暴露于加密而非纯文本帐户数据的现有系统的影响。

    即刻联系我们